SPS_2026

22 SPECIALE SPS ITALIA 2026 Tutorial Cristina Paveri La Direttiva NIS2, ovvero la Direttiva (UE) 2022/2555 del Parlamento eu- ropeo e del Consiglio del 14 dicem- bre 2022 relativa a misure per un li- vello comune elevato di cibersicurezza nell’Unione, recantemodifica del rego- lamento (UE) n. 910/2014 e della Di- rettiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148 - recepita in Italia con il decreto legislativo 4 set- tembre 2024, n. 138 si basa su tre pi- lastri: Responsabilità degli Stati membri : a livello nazionale ogni Stato deve pre- vedere una strategia di cybersecuri- ty e strutturarsi con un’autorità nazio- nale competente (ACN) e un gruppo di risposta agli incidenti di sicurezza in- formatica (Csirt), oltre a garantire una politica coordinata di divulgazione del- le vulnerabilità (vedi box) e una struttu- ra di gestione delle crisi di sicurezza in- formatica. Cooperazione tra Stati membri : la Di- rettiva NIS2 promuove la collaborazio- ne a livello UE attraverso reti e gruppi dedicati. Ogni Statomembro partecipa a tre reti, ciascuna con un diversoman- dato: il gruppodi cooperazioneNIS, co- stituito dalle autorità nazionali compe- tenti, facilita la cooperazione strategica e lo scambio di informazioni fra Stati membri; la rete dei gruppi Csirt degli Stati membri coopera per affrontare gli incidenti transfrontalieri a livello tecni- co, e la reteCyClone (Rete europea del- NIS2 GLI ADEMPIMENTI ALLA NUOVA DIRETTIVA La direttiva NIS2 rappresenta un aggiornamento importante nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni. Invita gli Stati membri dell’UE a definire strategie nazionali di cybersicurezza le organizzazioni di collegamento per le crisi informatiche), costituita dalle autorità nazionali di gestione delle cri- si di sicurezza informatica, supporta la gestione coordinata degli incidenti e delle crisi di sicurezza informatica su vasta scala a livello operativo. Lo scopo della collaborazione fra Stati membri è aumentare le capacità di cybersecurity dei singoli e imparare dalle esperienze condivise per ottenere un elevato livel- lo di sicurezza informatica comune e, attraverso la mutua collaborazione tra le singole autorità competenti, poten- ziare la supervisione transfrontaliera. Gli Stati membri devono, inoltre, coo- perare in merito a divulgazione delle vulnerabilità, valutazione dei rischi del- le supply chain critiche e gestione degli incidenti su vasta scala. Obblighi dei soggetti : misure di ge- stione dei rischi di cybersecurity, se- gnalazione degli incidenti e responsa- bilità degli organismi di gestione sono i requisiti principali che saranno appro- fonditi nelle sezioni successive dell’ar- ticolo. La Direttiva NIS2 introduce diverse no- vità: • Amplia l’ambitodi applicazioneapiù settori e sottosettori in base al loro grado di digitalizzazione, intercon- nessione e criticità per l’economia e la società. Distingue, inoltre, tra soggetti essenziali e importanti. • Amplia le misure di gestione dei ri- schi di cybersecurity e aumenta le responsabilità dei vertici aziendali. • Modifica e struttura gli obblighi di notifica degli incidenti introducen- do scadenze specifiche per gli inci- denti che hanno un impatto signifi- cativo. • Rafforza la supervisione dei sogget- ti con l’introduzione di requisiti mi- nimi distinti per soggetti essenziali e importanti e di meccanismi di colla- borazione transfrontaliera. • Introduce il registro transfrontaliero europeo, dove gli Stati membri sono tenuti a registrare i soggetti, e unda- Fig. 1 - Novità della NIS2 (fonte Enisa) Direttiva NIS